مشتریان خودپرداز بیت کوین با آپلود ویدیویی که در واقع یک برنامه بود هک شدند

جناس های نظامی زیادی در تاریخچه سیستم عامل وجود دارد.

معروف است که یونیکس تعداد زیادی پرسنل به نام دارد شماره اصلی، که گردان های دستگاه هایی مانند درایو دیسک، صفحه کلید و وب کم را در سیستم شما سازماندهی می کنند.

مایکروسافت زمانی با افراد ظاهراً ناتوان دست و پنجه نرم می کرد شکست عمومی، که مرتباً سعی می کرد دیسک های DOS شما را بخواند و شکست می خورد.

لینوکس به طور متناوب با آن مشکل دارد سرهنگ وحشت، که ظاهر معمولاً داده‌های از دست رفته، سیستم‌های فایل بالقوه آسیب دیده و نیاز فوری به خاموش کردن برق و راه‌اندازی مجدد رایانه را به دنبال دارد.

و به نظر نمی رسد که یک شرکت ارزهای دیجیتال چک آن گونه از قابلیت اطمینانی را که ممکن است از شخصیتی به نام انتظار معقولانه داشته باشید، دریافت کند. بایت های عمومی.

در واقع، بایت های عمومی نام خود این شرکت است، تجارتی که متأسفانه با نفوذهای ناخواسته و دسترسی غیرمجاز به وجوه ارزهای دیجیتال غریبه نیست.

یکبار بدبختی است

در آگوست 2022، ما نوشتیم که جنرال بایت چگونه بود قربانی شد به یک باگ سمت سرور که در آن مهاجمان از راه دور می‌توانند سرور ATM مشتری را فریب دهند تا به صفحات پیکربندی «راه اندازی یک سیستم کاملاً جدید» دسترسی داشته باشند.

اگر تا به حال آیفون یا دستگاه اندرویدی را reflash کرده باشید، می‌دانید که شخصی که تنظیمات اصلی را انجام می‌دهد، کنترل دستگاه را در اختیار دارد، به ویژه به این دلیل که او می‌تواند کاربر اصلی را پیکربندی کند و یک کد قفل کاملاً جدید را انتخاب کند. یا عبارت عبور در طول فرآیند.

با این حال، شما همچنین می دانید که تلفن های همراه مدرن قبل از نصب مجدد و پیکربندی مجدد سیستم عامل، برنامه ها و تنظیمات سیستم، محتویات قدیمی دستگاه، از جمله تمام اطلاعات کاربر قدیمی را به زور پاک می کنند.

به عبارت دیگر، می‌توانید دوباره شروع کنید، اما نمی‌توانید از جایی که آخرین کاربر کار را متوقف کرده است، کنترل کنید، در غیر این صورت می‌توانید از یک reflash سیستم (یا یک DFU، مخفف ارتقاء سیستم عامل دستگاه، همانطور که اپل آن را می نامد) برای دسترسی به فایل های مالک قبلی.

با این حال، در سرور ATM General Bytes، مسیر دسترسی غیرمجاز که مهاجمان را وارد صفحه‌های راه‌اندازی «شروع از ابتدا» می‌کرد، ابتدا هیچ داده‌ای را در دستگاه نفوذی خنثی نمی‌کرد.

...بنابراین کلاهبرداران می توانند از فرآیند "تنظیم یک حساب اداری جدید" سرور برای ایجاد یک کاربر مدیر اضافی در یک سرور سوء استفاده کنند. سیستم موجود.

دوبار شبیه بی احتیاطی است

آخرین بار، جنرال بایت با حمله بدون بدافزار مواجه شد، جایی که مجرمان هیچ کد مخربی را نصب نکردند.

حمله 2022 به سادگی از طریق تغییرات پیکربندی بدخواهانه سازماندهی شد و سیستم عامل و نرم افزار سرور اصلی دست نخورده باقی ماندند.

این بار مهاجمان از یک رویکرد مرسوم تر که به ایمپلنت متکی است: نرم افزار مخرب یا نرم افزارهای مخرب به طور خلاصه، از طریق یک حفره امنیتی آپلود شد و سپس به عنوان چیزی که ممکن است "پانل کنترل جایگزین" نامیده شود استفاده می شود.

به زبان انگلیسی ساده: کلاهبرداران اشکالی پیدا کردند که به آنها اجازه می داد یک درب پشتی نصب کنند تا بتوانند بدون اجازه وارد شوند.

همانطور که جنرال بایتز می گوید:

مهاجم توانست برنامه جاوا خود را از راه دور از طریق رابط سرویس اصلی که توسط پایانه ها برای آپلود ویدیوها استفاده می شود بارگذاری کند و با استفاده از امتیازات کاربر batm اجرا کند.

ما مطمئن نیستیم که چرا یک دستگاه خودپرداز به گزینه آپلود تصویر و ویدیو از راه دور نیاز دارد، گویی که این یک سایت وبلاگ نویسی اجتماعی یا خدمات رسانه های اجتماعی است…

... اما به نظر می رسد که سیستم سرور خودپرداز کوین دقیقاً چنین ویژگی را دارد، احتمالاً به این ترتیب که تبلیغات و سایر پیشنهادات ویژه می توانند مستقیماً برای مشتریانی که از دستگاه های خودپرداز بازدید می کنند تبلیغ شود.

آپلودهایی که آنطور که به نظر می رسند نیستند

متأسفانه، هر سروری که اجازه آپلود را می دهد، حتی اگر از یک منبع قابل اعتماد (یا حداقل یک منبع معتبر) باشد، باید مراقب چندین چیز باشد:

• آپلودها باید در قسمتی نوشته شوند که نتوان آنها را فوراً از خارج خواند. این کمک می‌کند تا اطمینان حاصل شود که کاربران غیرقابل اعتماد نمی‌توانند سرور شما را به یک سیستم تحویل موقت برای محتوای غیرمجاز یا نامناسب از طریق URL که مشروع به نظر می‌رسد تبدیل کنند، زیرا نام تجاری شما را نامعتبر دارد.
• آپلودها باید بررسی شوند تا اطمینان حاصل شود که با انواع فایل های مجاز مطابقت دارند. این به کاربران سرکش کمک می‌کند تا با پر کردن آن با اسکریپت‌ها یا برنامه‌هایی که ممکن است بعداً به جای ارائه به یک بازدیدکننده بعدی، روی سرور اجرا شوند، از به دام انداختن منطقه آپلود شما جلوگیری می‌کند.
• آپلودها باید با محدودترین مجوزهای دسترسی ممکن ذخیره شوند، به طوری که فایل های انفجاری یا فاسد نمی توانند به طور ناخواسته اجرا شوند یا حتی از قسمت های امن تر سیستم به آنها دسترسی پیدا کنید.

به نظر می رسد که جنرال بایت این اقدامات احتیاطی را انجام نداده است و در نتیجه مهاجمان قادر به انجام طیف گسترده ای از اقدامات نقض حریم خصوصی و پاره کردن ارزهای دیجیتال بودند.

فعالیت مخرب ظاهراً شامل موارد زیر بود: خواندن و رمزگشایی کدهای احراز هویت مورد استفاده برای دسترسی به وجوه در کیف پول ها و صرافی های داغ. ارسال وجوه از کیف پول داغ؛ دانلود نام کاربری و هش رمز عبور؛ بازیابی کلیدهای رمزنگاری مشتری؛ خاموش کردن 2FA؛ و دسترسی به گزارش رویدادها

چه کاری انجام دهید؟

• اگر سیستم های خودپرداز General Bytes Coin را اجرا می کنید، شرکت را بخوانید گزارش تخلف، که به شما می گوید چگونه به دنبال IoC های به اصطلاح (شاخص های سازش) و زمانی که منتظر انتشار وصله ها هستید چه کاری باید انجام دهید.

توجه داشته باشید که این شرکت تأیید کرده است که هم سرورهای مستقل Coin ATM و هم سیستم‌های مبتنی بر ابر خودش (که در آن جنرال بایت‌ها 0.5 درصد مالیات بر تمام تراکنش‌ها در ازای اجرای سرورهای شما برای شما پرداخت می‌کنید) تحت تأثیر قرار گرفته‌اند.

به طور جالبی، General Bytes گزارش می دهد که چنین خواهد شد «خاموش کردن سرویس ابری آن»، و اصرار بر آن "شما باید سرور مستقل خود را نصب کنید". (در این گزارش ضرب الاجلی مشخص نشده است، اما شرکت در حال حاضر فعالانه پشتیبانی مهاجرت را ارائه می دهد.)

جنرال بایت در چرخشی که شرکت را در جهت مخالف بیشتر شرکت های خدمات محور معاصر می برد، اصرار دارد که از نظر تئوری (و عملا) غیرممکن است که سیستمی را ایمن کنیم که به چندین اپراتور به طور همزمان دسترسی داشته باشد، جایی که برخی از آنها بازیگران بدی هستند.

• اگر اخیرا از دستگاه خودپرداز جنرال بایت استفاده کرده اید، با صرافی یا صرافی های ارز دیجیتال خود تماس بگیرید تا در مورد اینکه چه کاری باید انجام دهید و اینکه آیا هر یک از سرمایه های شما در معرض خطر است یا خیر، راهنمایی بگیرید.

• اگر یک برنامه نویس هستید و به دنبال یک سرویس آنلاین هستید، چه میزبان خود باشد و چه میزبان ابر، توصیه‌های ما را در مورد آپلودها و فهرست‌های آپلود بخوانید و به آن توجه کنید.

• اگر از علاقه مندان به ارزهای دیجیتال هستید، تا جایی که می توانید مقدار کمی از ذخیره رمزارز خود را به اصطلاح نگه دارید کیف پول گرم.

کیف‌پول‌های داغ اساساً وجوهی هستند که آماده معامله در یک لحظه (شاید به طور خودکار) هستند و معمولاً نیاز دارند که کلیدهای رمزنگاری خود را به شخص دیگری بسپارید یا به طور موقت وجوه را به یک یا چند کیف پول آنها منتقل کنید.

---

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/